С 1 января 2010 года вступают в силу санкции по закону о персональных данных. Компаниям, которые должным образом не обеспечили защиту персональных данных, грозят штрафы в размере от 5000 до 500 000 рублей. Помочь бизнесу и госучреждениям могут специальные ИТ-решения. Однако системные интеграторы жалуются, что многие сибирские компании не торопятся решать этот вопрос, поскольку имеют административный ресурс, позволяющий им защититься от закона. В том, как правильно защитить персональные данные, разбирались корреспонденты «КС» АЛЕКСАНДР МЕСАРКИШВИЛИ и СЕРГЕЙ МИНИН.
Согласно ФЗ № 152 под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, под действие закона попадает любая компания, имеющая кадровый учет, базы данных клиентов, контактные списки электронной почты и т. п.
Упомянутый закон гласит, что любые компании при обработке персональных данных обязаны принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Организации могут поручить обработку персональных данных уполномоченному оператору.
Закон затрагивает деятельность государственных и муниципальных органов, юридических или физических лиц, осуществляющих обработку персональных данных.
Как пояснили в компании Softline, для всех информационных ресурсов организации, содержащих персональные данные, необходимо: определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т. д.); уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т. д.); установить сроки хранения и сроки обработки данных в каждом информационном ресурсе; определить способы обработки; определить лиц, имеющих доступ к данным; сформулировать юридические последствия; определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.
С 1 января в силу вступят штрафные санкции за невыполнение ФЗ-152. Так, разглашение персональных данных влечет к наложению штрафа в размере 5000 рублей, нарушение правил защиты или использование несертифицированных средств защиты карается штрафом в 20 000 рублей и конфискацией, а также приостановлением деятельности предприятия на срок до 90 суток. Самый жесткий штраф предусмотрен в случае невыполнения в срок требований надзорного органа или ФСТЭК — это карается 500 000 рублей штрафа и дисквалификацией должностного лица на срок до трех лет.
По словам руководителя отдела маркетинга компании «Утилекс АйТи» Валентина Фосса, для того чтобы соответствовать закону, компании нужно предпринять ряд шагов:
— уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных;
— провести предпроектное обследование информационных систем, их классификацию;
— разработать документы, регламентирующие обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных);
— создать системы защиты персональных данных (в т. ч. выполнить требования по инженерно-технической защите помещений);
— пройти аттестацию или задекларировать соответствие системы защиты персональных данных требованиям законодательства.
«Аттестация обязательна для информационных систем 1-го и 2-го классов (в соответствии с принятой классификацией. — «КС»), — замечает Валентин Фосс. — Для систем 3-го класса процедура аттестации может быть заменена процедурой декларирования соответствия. А для 4-го класса аттестация не требуется вовсе».
Все работы по созданию системы защиты персональных данных должны быть завершены до 1 января 2010 года — в противном случае предусмотрены административная, уголовная, гражданская и иные виды ответственности.
Специалисты по информационной безопасности утверждают, что большинство компаний не сможет самостоятельно выполнить все шаги, необходимые для соответствия требованиям законодательства. «Слишком много здесь юридических и технологических нюансов, — говорит Валентин Фосс. — Исключение составят крупные компании, имеющие в своем составе мощные ИТ-подразделения и сотрудников соответствующей квалификации».
По его словам, решить эту задачу, не обращаясь за помощью в специализированные компании, смогут и некоторые мелкие организации, где обработка персональных данных осуществляется на системах 4-го класса. «Небольшие компании вполне смогут обойтись только организационными мерами: грамотно подготовить договоры с сотрудниками, получить разрешения на использование персональных данных для вполне конкретных целей — например, для начисления зарплаты, — продолжает Валентин Фосс. — Большинству же компаний придется воспользоваться услугами специалистов для построения системы защиты персональных данных».
«Спрос на ИТ-решения, необходимые для обеспечения защиты персональных данных, растет», — делится директор по развитию представительства компании «Микротест» в Новосибирске Станислав Юминов. При этом он замечает, что примерно половина клиентов интересуется внедрением решений, а у остальных уже идут проекты.
«Конкретных решений о выделении средств на разработку комплексных систем информационной безопасности (КСИБ) или той части КСИБ, которая касается защиты и аттестации ИСПДн, пока не так много», — утверждает руководитель направления по работе с государственными структурами сибирского филиала ЗАО «Энвижн Груп» Иван Бурдонов.
Системные интеграторы сетуют, что многие клиенты пока недооценивают серьезность этого вопроса либо имеют административный ресурс, позволяющим им защититься от закона.
«Наибольший интерес к таким решениям проявляют банки и другие финансовые учреждения — пенсионные фонды, страховые компании», — рассказывает Станислав Юминов. Дело в том, что в банках базы данных являются одними из основ бизнес-процессов, и все вопросы, так или иначе затрагивающие базы данных, являются очень актуальными.
Объем вложений, необходимых для выполнения норм закона, по словам Станислава Юминова, оценить сложно. «Это зависит от того, какие информационные системы уже используются в компании, — объясняет он. — Для того чтобы оценить затраты, сначала проводится обследование ИС заказчика, которое включает классификацию установленных решений. Затем разрабатывается модель угроз персональным данным в компании и выбирается решение, которое необходимо внедрить».
По оценкам различных экспертов рынка, примерная стоимость проекта для компании, имеющей несколько сотен компьютеров и десяток серверов, составляет 3–7 млн рублей; продолжительность реализации проекта — шесть месяцев.
WPBuild.Ru